Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le périmètre de sécurité réseau permet aux organisations de définir une limite d’isolation réseau logique pour les ressources PaaS telles qu’Azure Files déployées en dehors de leurs réseaux virtuels. Cette fonctionnalité limite l’accès au réseau public aux ressources PaaS en dehors du périmètre. Cependant, vous pouvez exempter un accès en utilisant des règles d’accès explicites pour le trafic public entrant et sortant. Cela permet d’empêcher l’exfiltration de données indésirables de vos ressources de stockage. Dans un périmètre de sécurité réseau, les ressources membres peuvent communiquer librement entre elles. Les règles de périmètre de sécurité réseau remplacent les propres paramètres de pare-feu du compte de stockage. L'accès à partir du périmètre prend la plus haute priorité sur d'autres restrictions réseau.
Vous trouverez ici la liste des services intégrés au périmètre de sécurité réseau. Si un service n’est pas répertorié, il n’est pas encore intégré. Pour autoriser l’accès à une ressource spécifique à partir d’un service non intégré, vous pouvez créer une règle basée sur un abonnement pour le périmètre de sécurité réseau. Une règle basée sur un abonnement accorde l’accès à toutes les ressources de cet abonnement. Pour plus d’informations sur l’ajout d’une règle d’accès basée sur un abonnement, consultez cette documentation.
Modes d’accès
Lors de l’intégration de comptes de stockage à un périmètre de sécurité réseau, vous pouvez démarrer en mode Transition (anciennement mode Apprentissage) ou passer directement en mode Appliqué . Le mode de transition (mode d’accès par défaut) permet au compte de stockage de revenir à ses règles de pare-feu existantes ou aux paramètres de services approuvés si une règle de périmètre n’autorise pas encore une connexion. Le mode appliqué bloque strictement tout le trafic entrant et sortant public, sauf autorisation explicite par une règle de périmètre de sécurité réseau, garantissant ainsi une protection maximale pour votre compte de stockage. En mode appliqué, les exceptions de service approuvées d’Azure ne sont pas respectées. Les ressources Azure pertinentes ou des abonnements spécifiques doivent être explicitement autorisés via des règles de périmètre. Pour plus d’informations, consultez Transition vers un périmètre de sécurité réseau dans Azure.
Important
Les comptes de stockage d’exploitation en mode Transition doivent servir uniquement d’étape de transition. Les acteurs malveillants peuvent exploiter des ressources non sécurisées pour exfiltrer des données. Par conséquent, il est essentiel de passer à une configuration entièrement sécurisée dès que possible avec le mode d’accès défini sur Appliqué.
Priorité réseau
Lorsqu’un compte de stockage fait partie d’un périmètre de sécurité réseau, les règles d’accès du profil pertinentes remplacent les propres paramètres de pare-feu du compte, devenant le gardien de réseau de niveau supérieur. L’accès autorisé ou refusé par le périmètre est prioritaire et les paramètres des réseaux autorisés du compte de stockage sont ignorés lorsque le compte de stockage est associé en mode appliqué. La suppression du compte de stockage d’un périmètre de sécurité réseau rétablit le contrôle de son pare-feu habituel. Les périmètres de sécurité réseau n’affectent pas le trafic de point de terminaison privé. Les connexions via une liaison privée réussissent toujours. Pour les services Azure internes (services approuvés), seuls les services explicitement intégrés au périmètre de sécurité réseau sont autorisés par le biais de règles d’accès de périmètre. Sinon, leur trafic est bloqué par défaut, même s’il est approuvé sur les règles de pare-feu du compte de stockage. Pour les services non encore intégrés, les alternatives incluent des règles au niveau de l’abonnement pour les noms de domaine entrants et complets (FQDN) pour l’accès sortant ou via des liens privés.
Important
Le trafic d’un point de terminaison privé est considéré comme hautement sécurisé et il n’est donc pas soumis aux règles du périmètre de sécurité réseau. Tout autre trafic, y compris les services approuvés, est soumis aux règles de périmètre de sécurité réseau si le compte de stockage est associé à un périmètre.
Couverture des fonctionnalités sous périmètre de sécurité réseau
Lorsqu’un compte de stockage est associé à un périmètre de sécurité réseau, toutes les opérations standard du plan de données pour les objets blobs, les fichiers, les tables et les files d’attente sont prises en charge, sauf indication contraire dans les limitations connues. Vous pouvez restreindre les opérations basées sur HTTPS pour Azure Files, Azure Blob Storage, Azure Data Lake Storage Gen2, Azure Table Storage et Azure Queue Storage à l’aide du périmètre de sécurité réseau.
Les tableaux suivants décrivent uniquement le périmètre de sécurité réseau et la prise en charge du protocole pour Azure Files. Si vous recherchez une couverture des fonctionnalités pour le Stockage Blob Azure et d’autres services de stockage Azure, consultez cet article.
Le tableau suivant décrit la prise en charge de l’application du périmètre de sécurité réseau entrante pour Azure Files.
| Fonctionnalité | État de la prise en charge | Recommandations |
|---|---|---|
| Liaison privée | Pris en charge dans tous les protocoles (REST, SMB, NFS) | Les règles Private Link sont prioritaires sur le périmètre de sécurité réseau. Le trafic Private Link entrant est toujours accepté, quelle que soit la configuration du périmètre de sécurité réseau. |
| Azure Files REST avec OAuth | Soutenu | Prise en charge complète |
| Azure Files REST avec clé partagée ou authentification SAS | Prend uniquement en charge les règles IP entrantes | La clé partagée et SAS ne sont pas des protocoles basés sur OAuth, ils ne peuvent donc pas transmettre des informations sur le périmètre source ou l'abonnement. Par conséquent, les règles relatives au périmètre entrant et aux abonnements ne seront pas respectées. Les règles IP sont prises en charge (jusqu’à 200 règles). |
| Azure Files SMB avec NTLM ou Kerberos | Prend uniquement en charge les règles IP entrantes | Les protocoles NTLM ou Kerberos ne sont pas des protocoles OAuth. Ils ne peuvent donc pas porter d’informations sur le périmètre source ou l’abonnement. Par conséquent, les règles relatives au périmètre entrant et aux abonnements ne seront pas respectées. Les règles IP sont prises en charge (jusqu’à 200 règles). |
| Azure Files NFS | Tout le trafic entrant refusé | Tout le trafic entrant à l’exception de Private Link est refusé si vous placez votre compte de stockage dans un périmètre de sécurité réseau en mode appliqué. Le trafic sortant pour les clés gérées par le client (CMK) est pris en charge. |
Le tableau suivant décrit la prise en charge de l’intégration pour le périmètre de sécurité réseau pour Azure Files.
| Fonctionnalité | État de la prise en charge | Recommandations |
|---|---|---|
| clés gérées par le client | Pris en charge dans tous les protocoles (REST, SMB, NFS) | Si vous placez le coffre de clés hébergeant la clé CMK dans un périmètre de sécurité réseau, vous devez placer le compte de stockage dans le même périmètre ou configurer le profil de périmètre de sécurité réseau du coffre de clés pour permettre au compte de stockage de communiquer avec lui. |
| Azure Backup | Non pris en charge. Sauvegarde Azure n’est pas encore intégrée au périmètre de sécurité réseau | Évitez d'utiliser le périmètre de sécurité réseau pour les comptes de stockage jusqu'à ce que l'activation via Azure Backup soit terminée. |
| Azure File Sync | Non entièrement pris en charge. Azure File Sync a une limitation connue avec les périmètres de sécurité réseau. | Pour connecter une ressource de service de synchronisation de stockage à votre compte de stockage, vous devez d’abord configurer le service de synchronisation de stockage pour utiliser des identités managées. Ensuite, configurez une règle de profil entrant du périmètre de sécurité réseau pour autoriser l’abonnement au service Storage Sync. Les services de synchronisation de stockage ne peuvent pas être associés aux périmètres. |
Avertissement
Pour les comptes de stockage associés à un périmètre de sécurité réseau, afin que les scénarios de clés gérées par le client (CMK) fonctionnent, assurez-vous que Azure Key Vault est accessible à partir du périmètre auquel le compte de stockage est associé.
Associer un périmètre de sécurité réseau à un compte de stockage
Pour associer un périmètre de sécurité réseau à un compte de stockage, suivez ces instructions communes à toutes les ressources PaaS.
Étapes suivantes
- Découvrez-en davantage sur les points de terminaison de service de réseau virtuel Azure.
- Activez les journaux de diagnostic pour le périmètre de sécurité réseau.